搜索
12
返回列表 发新帖
楼主: Rinknore
收起左侧

[病毒样本] 【老病毒】金猪报喜样本

[复制链接]
lexsm
发表于 2020-11-12 19:25:13 | 显示全部楼层
QWQxd 发表于 2020-11-12 17:15
智量最低启发也能杀2333

入库了,2345都能杀
huorong
发表于 2020-11-12 23:13:32 | 显示全部楼层
有厂商要是连这种时代的毒都不杀,基本可以关门大吉了吧
abcdefghihijk
发表于 2020-11-13 18:22:34 | 显示全部楼层
火绒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
左手
发表于 2020-11-14 21:23:29 | 显示全部楼层
2020/11/14 星期六 21:22:26    读文件 风险提示:低风险 (2)    阻止
进程: c:\users\administrator\desktop\金猪报喜\setup.exe
目标: F:\Diskeeper\Desktop_.ini
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]f:\*

2020/11/14 星期六 21:22:26    读文件 风险提示:低风险 (2)    阻止
进程: c:\users\administrator\desktop\金猪报喜\setup.exe
目标: F:\icon\Desktop_.ini
规则: [文件组]《坚固》f111_隐藏其余磁盘 -> [文件]f:\*

2020/11/14 星期六 21:22:26    修改注册表值 风险提示:木马    阻止
进程: c:\users\administrator\desktop\金猪报喜\setup.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\svcshare
值: C:\windows\system32\drivers\sppoolsv.exe
规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\users\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2020/11/14 星期六 21:22:26    修改注册表值 风险提示:木马    阻止并结束进程
进程: c:\users\administrator\desktop\金猪报喜\setup.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
值: 0x00000000(0)
规则: [应用程序]* -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\*Hidden*
swizzer
发表于 2020-11-14 22:25:07 | 显示全部楼层
本帖最后由 swizzer 于 2020-11-15 13:50 编辑
lexsm 发表于 2020-11-12 19:25
入库了,2345都能杀

对智量而言,启发能杀的病毒再进行入库,一定程度上提供了额外的保护层

-----------------------------------

话说单纯的主防还是没完全防御住(如果从根目录下运行防御不完全,其他情况防御完全)虽然KD报法杀掉了样本,但是已经有文件被感染

——包括我的截图工具···

@智量官方  虽然感染型已经不常见,但主防能否加强防御···毕竟多一层防护多一分心安

智量官方
发表于 2020-11-15 21:12:54 | 显示全部楼层
swizzer 发表于 2020-11-14 22:25
对智量而言,启发能杀的病毒再进行入库,一定程度上提供了额外的保护层

---------------------------- ...

你好,我们这边测试并无文件被感染。
请问你是从在哪个根目录下运行的?
你的意思是只是在根目录下运行才会出现防御不完全的情况?
根目录下面你是否有一些EXE文件?
swizzer
发表于 2020-11-15 22:20:00 | 显示全部楼层
本帖最后由 swizzer 于 2020-11-15 22:21 编辑
智量官方 发表于 2020-11-15 21:12
你好,我们这边测试并无文件被感染。
请问你是从在哪个根目录下运行的?
你的意思是只是在根目录下运行 ...

我从D:\直接运行的。当时是全盘影子模式。双击的3次中,最后一次未完全拦截,D:\$1material下的exe被感染。由于截图工具当时也被感染,且全盘影子模式下重启后相关证据也会丢失,所以我未提供出相关截图

如果从非根目录下运行,至少在我双击的另外5次中,全部完全防御。

官人可以再看看,毕竟这样的事情有过先例

当时是国内区的一个帖子下,yjwfdc这位用户测试时,智量对熊猫烧香也未完全防御
智量官方
发表于 2020-11-15 22:38:05 | 显示全部楼层
swizzer 发表于 2020-11-15 22:20
我从D:\直接运行的。当时是全盘影子模式。双击的3次中,最后一次未完全拦截,D:\$1material下的exe被感染 ...

熊猫烧香我们可以确定没有绕过主防,都测试很多次了,也在不同的系统下测试过。这个我们再测试一下八
浮生如梦
发表于 2020-11-17 15:27:58 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2020-11-28 10:12 , Processed in 0.097536 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表